SVEUČILIŠTE U RIJECI EKONOMSKI FAKULTET U RIJECI RIJEKA

DOKTORSKI STUDIJ POSLOVNA EKONOMIJA

SAŠA AKSENTIJEVIĆ

KORIŠTENJE EKONOMSKIH I FINANCIJSKIH KRITERIJA PRI ODLUČIVANJU U INVESTIRANJE U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU
PRISTUPNI RAD

RIJEKA, 2012.

SVEUČILIŠTE U RIJECI EKONOMSKI FAKULTET U RIJECI RIJEKA

DOKTORSKI STUDIJ POSLOVNA EKONOMIJA

KORIŠTENJE EKONOMSKIH I FINANCIJSKIH KRITERIJA PRI ODLUČIVANJU U INVESTIRANJE U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU
PRISTUPNI RAD

Kolegij: Mentor:

Odabrane teme iz poslovne ekonomije red.prof.dr.sc. Mira Dimitrić Smjer: Poslovna ekonomija Matični broj: 37/09

Doktorand: Saša Aksentijević

Rijeka, siječanj 2012.

PREDGOVOR
Zadnjih deset godina svoje karijere proveo sam radeći u poduzećima u stranom vlasništvu koja su različita po strukturi svog vlasništva, te granskom području djelovanja, no zajedničko im je da su davala jak naglasak u poslovanju na sigurnost informacija. Od 2006. godine sam dodatno imenovan od uprave poduzeća na poziciju rukovoditelja informacijskom sigurnošću te sam se suočio s potrebom izrade i organizacije sustava upravljanja informacijskom sigurnošću koji do tada nije postojao. U posljednjih pet godina prošao sam put koji je vodio kroz izradu politika, planova, standarda, smjernica i radnih uputa a koje obuhvaćaju ne samo područje informacijske sigurnosti nego i integralne zaštite te završio na Ekonomskom fakultetu Sveučilišta u Rijeci poslijediplomski specijalistički studij na kojemu sam izradio završni rad s temom upravljanja sustavima integralne i informacijske sigurnosti, motiviran upravo svakodnevnim radom u svom poduzeću. Kroz cijelo to vrijeme, te u kontaktu s kolegama iz struke, uočio sam kako poduzeća ne koriste strukturirani i znanstveni pristup pri odlučivanju o investiranju u pojedina hardverska, programska i organizacijska rješenja kojima štite svoje informacijske sustave. Temeljni princip kojim se poduzeća vode u odre ivanju mjera kojima štite takve sustave je procjena rizika koja je stručna i tehnička disciplina. Zbog neuključivanja financijskih kriterija u analizu od strane tehničkih disciplina, ali i nerazumijevanja samog tehničkog konteksta, financijsko rukovodstvo koje odlučuje o investiranju često implicitno preuzima nerazumno visoke razine rizika ili se doga a obrat ove situacije, da se pretjerano investira u uklanjanje rizika niže razine utjecaja. Na poteškoće u izradi rada sam naišao jer se povezivanjem financijskih kriterija investiranja i sustava upravljanja informacijskom sigurnošću autori i praktičari bave u ograničenom opsegu budući da stručnjaci uvažavaju samo tehničke kriterije a financijski menadžment primarno financijske kriterije pri odlučivanju. Stoga je glavna motivacija pri izradi rada pomiriti i približiti temeljne tehničke i financijske koncepte odlučivanja o investiranju u različite sastavnice sustava upravljanja informacijskom sigurnošću poduzeća. Ovom prigodom zahvaljujem se mentorici pri izradi rada red. prof.dr.sc. Miri Dimitrić na strpljenju pri zajedničkom radu na konceptu i samom pristupnom radu.

1

SAŽETAK KORIŠTENJE EKONOMSKIH I FINANCIJSKIH KRITERIJA PRI ODLUČIVANJU U INVESTIRANJE U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU

U radu se opisuju specifičnosti kapitalnih ulaganja u sustave upravljanja informacijskom sigurnošću, analizira praktična primjenjivost uobičajenih metoda ekonomsko-financijske analize i daje okvirni prijedlog novog modela koji uključuje i tehničke i zakonske zahtjeve za implementacijom sustava upravljanja informacijskom sigurnošću. Posebno se razra uje primjena metode analitičkih hijerarhijskih procesa (AHP) pri odlučivanju, kao i financijske metode koje u sebi uključuju postupke diskontiranja i one bazirane na internoj stopi povrata.

Ključne riječi: sustav upravljanja informacijskom sigurnošću, kapitalno budžetiranje, investiranje

SUMMARY USAGE OF ECONOMIC AND FINANCIAL CRITERIA IN ISMS INVESTING DECISION PROCESS
This paper is aimed towards describing specific characteristics of capital investments in ISMS systems and analysis of practical applicability of basic method of economic and financial analyis. As a result it proposes a framework model that includes both technical and legal requirements for information security. Specific emphasis is given on application of Analythical Hierarchical Process methods (AHP) during decision making and methods that include discounting and internal rate of return (RoR). Key words: information security management system, capital budgeting, investing
2

KAZALO

Stranica
1 2 2 3 5 5 6 6 7 7

PREDGOVOR............................................................................................................................ SAŽETAK................................................................................................................................... SUMMARY................................................................................................................................ KAZALO.................................................................................................................................... 1. UVOD................................................................................................................................... 1.1 PROBLEM, PREDMET I OBJEKT ISTRAŽIVANJA.................................................. 1.2 RADNA HIPOTEZA I POMOĆNE HIPOTEZE.......................................................... 1.3 SVRHA I CILJEVI ISTRAŽIVANJA........................................................................... 1.4 ZNANSTVENE METODE............................................................................................. 1.5 STRUKTURA RADA.....................................................................................................

2. SPECIFIČNOSTI REALNIH ULAGANJA U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU PODUZEĆA...................................................... 9 2.1 ČIMBENICI SUSTAVA UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU PODUZEĆA.................................................................................................................. 9 2.2 PREGLED OBLIKA ULAGANJA U SUSTAVE UPRAVLJANJA 14 INFORMACIJSKOM SIGURNOŠĆU PODUZEĆA................................................. 2.3 POTEŠKOĆE PRI ODRE IVANJU ULAZNIH PARAMETARA FINANCIJSKE ANALIZE....................................................................................................................... 18 3. RAZMATRANJE KORIŠTENJA METODA EKONOMSKOG I FINANCIJSKOG ODLUČIVANJA PRI INVESTIRANJU U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU PODUZEĆA...................................................... 20 3.1 SPECIFIČNOSTI EKONOMSKOG TOKA ................................................................. 3.2 SPECIFIČNOSTI NOVČANOG TOKA ...................................................................... 3.3 PROBLEMI PRI KORIŠTENJU METODE INTERNE STOPE PRINOSA................ 3.4 ODLUČIVANJE O ZAMJENI IMPLEMENTIRANOG SIGURNOSNOG RJEŠENJA...................................................................................................................... 3.5 OSTALE MOGUĆNOSTI KORIŠTENJA FINANCIJSKIH METODA PRI ODLUČIVANJU O ULAGANJU U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU..........................................................................
20 22 27 30

32

3

4. MODEL KORIŠTENJA FINANCIJSKIH KRITERIJA PRI ODLUČIVANJU O INVESTIRANJU U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU................................................................................................................ 4.1 RAZMATRANJE METODE ANALITIČKIH HIJERARHIJSKIH PROCESA........... 4.2 PRIJEDLOG MODELA INTEGRACIJE TEHNIČKIH, EKONOMSKIH I FINANCIJSKIH METODA PRI ODLUČIVANJU O INVESTIRANJU U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU........................ 5. ZAKLJUČAK......................................................................................................................

34 34

42

45

LITERATURA............................................................................................................................ 48 POPIS SHEMA........................................................................................................................... 49

4

1. UVOD
U uvodnom dijelu obrazlažu se 1. problem, predmet i objekti istraživanja, 2. radna hipoteza i pomoćne hipoteze, 3. svrha i ciljevi istraživanja, 4. znanstvene metode i 5. struktura metodološkog seminarskog rada.

1.1. Problem, predmet i objekti istraživanja
Sustavi upravljanja informacijskom sigurnošću podsustavi su poslovnih sustava čija je zadaća štititi informacije sadržane u informacijskim sustavima poduzeća Zbog kompleksnosti matrice različitih rizika kojima su poduzeća izložena, tehnička implementacija takvih sustava je vrlo kompleksna i povezana uz visoka kapitalna ulaganja i operativne troškove koji se me usobno mogu supstituirati Dosadašnja istraživanja pokazuju da su ulaganja u informacijsku sigurnost u Republici Hrvatskoj nerazmjerno mala u odnosu na razvijene države Europske Unije i svijeta. Iz izložene problematike istraživanja proizlazi i projektni zadatak istraživanja: Budući da izostanak uporabe ekonomskih i financijskih kriterija na odlučivanje o investiranju u sustave upravljanja informacijskim kapitalom ima direktan utjecaj na uspješnost poduzeća, ignoriranje potrebe za provo enjem takve analize i uskla ivanjA tehničkih zahtjeva s financijskim kriterijima takvih ulaganja dovodi do neadekvatnih kvalitativnih i kvantitativnih karakteristika takvih ulaganja, što u praksi dovodi do smanjene razine informacijske sigurnosti poduzeća i smanjene sposobnosti postizanja željenog poslovnog rezultata. Predmet istraživanja proizlazi iz definirane problematike istraživanja, a glasi: istražiti, analizirati i sustavno izložiti značajke i specifičnosti financijske i ekonomske analize sustava upravljanja informacijske sigurnosti te predložiti konkretne mjere korištenja metoda koje mogu biti korisne pri procjenjivanju kapitalnih ulaganja u sustave upravljanja informacijskom sigurnošću s ciljem očuvanja informacijske sigurnosti poduzeća.

5

Problem i predmet istraživanja odnose se na dva me usobno povezana objekta istraživanja: sustave upravljanja informacijskom sigurnošću i metode ekonomsko-financijske analize kapitalnih ulaganja u iste.

1.2. Radna hipoteza i pomoćne hipoteze
Definiranje problema, predmeta i objekta istraživanja dovodi do oblikovanja radne hipoteze, i to: Primjenom adekvatnih metoda ekonomske i financijske analize može se poboljšati postizanje ciljeva sustava upravljanja informacijskom sigurnošću i pozitivno utjecati na željeni financijski rezultat poduzeća. Radi lakšeg dokazivanja radne hipoteze, u procesu istraživanja definiraju se i tri pomoćne hipoteze (P.H.): P.H. 1. Pri odabiru metoda ekonomske i financijske analize te korištenih pokazatelja potrebno je uvažiti specifičnosti sustava upravljanja informacijskom sigurnošću poduzeća. • P.H. 2. Sve metode analize ekonomskog i financijskog toka nisu jednako primjenjive na analizu ulaganja u sustave upravljanja informacijskom sigurnošću zbog intrinzičnih tehničkih specifičnosti takvih sustava. • P.H. 3. Integracija tehničkih i financijskih kriterija odlučivanja pri kapitalnom investiranju u sastavnice sustava upravljanja informacijskom sigurnošću dovodi do optimalne alokacije financijskih sredstava orijentiranih ka uklanjanju onih rizika koje prijete ugrozama najjačeg intenziteta po informacijsku sigurnost poduzeća.

1.3. Svrha i ciljevi istraživanja
Sukladno problemu, predmetu i objektu istraživanja, te radnim i pomoćnim hipotezama, definirani su svrha i ciljevi istraživanja. Svrha istraživanja je dokazati kako se pravilnom identifikacijom rizika, tehničkih i zakonskih zahtjeva za zaštitom informacijskih sustava poduzeća te njihovim dovo enjem u vezu s raspoloživim financijskim sredstvima poduzeća, a korištenjem metoda ekonomske i financijske analize može poboljšati funkcioniranje sustava upravljanja informacijskom sigurnošću i
6

optimizirati tu vrstu kapitalnih ulaganja, kako bi se poboljšala kontrola i pregled nad isplativosti investicija u informacijsko sigurnosna rješenja. Cilj istraživanja je istražiti, analizirati i izložiti sve značajke kapitalnog investiranja u sustave upravljanja informacijskom sigurnošću koje ga čine jedinstvenim i jasno razgraničuju od ostalih oblika investiranja, opisati čimbenike koji utječu na tu vrstu ulaganja, objasniti povezanost izme u tehničkih (strukovnih) i zakonskih zahtjeva za sukladnošću i raspoloživih financijskih sredstava i predložiti okvirni model za povećanje uspješnosti mjera informacijske sigurnosti kojima se štite informacijski sustavi poduzeća.. U radu će se dati odgovori na sljedeća pitanja: 1) Koji su čimbenici sustava upravljanja informacijskom sigurnošću te koje su moguće vrste ulaganja u takve sustave? 2) Koje su specifičnosti i općenita primjenjivost metoda ekonomske i financijske analize na pojedina kapitalna ulaganja u sustave upravljanja informacijskom sigurnošću? 3) Koja je mogućnost upotrebe metode hijerarhijskih analitičkih procesa u odlučivanju o investiranju u sustave upravljanja informacijskom sigurnošću poduzeća? 4) Kako se može dovesti u vezu i u praksi kombinirati tehničke, zakonske i strukovne zahtjeve za investiranjem u informacijsku sigurnost s uobičajenim metodama ekonomske i financijske analize takvih investicija?

1.4. Znanstvene metode
Pri izradi ovog rada koristit će se u odgovarajućim kombinacijama sljedeće znanstvene metode: metode indukcije i dedukcije, metode analize i sinteze, metode apstrakcije i konkretizacije, metode generalizacije i specijalizacije, metoda klasifikacije, metoda deskripcije, komparativna metoda, povijesna metoda, metoda mozaika znanstvene misli, metoda usporedbe u parovima i metoda kompilacije. Potonja se pažljivo koristila pazeći pritom na vjerodostojno prenošenje i citiranje izvora.

1.5. Struktura rada
Rezultati istraživanja predstavljeni su u pet me usobno povezanih dijelova.
7

U prvom dijelu rada, UVODU, definiraju se problem, predmet i objekt istraživanja, radna hipoteza i pomoćne hipoteze, svrha i ciljevi istraživanja, taksativno se navode znanstvene metode koje su korištene pri izradi pristupnog rada, te se na kraju obrazlože njegova osnovna struktura. SPECIFIČNOSTI REALNIH ULAGANJA U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU PODUZEĆA naslov je drugog dijela rada koji je orijentiran povijesno-retrospektivno i eksplikativno. U njemu se obrazlažu neke karakteristike koje razlikuju kapitalna ulaganja u sustave upravljanje informacijskom sigurnošću od drugih oblika kapitalnih ulaganja te se naznačavaju poteškoće kod odre ivanja nekih ulaznih parametara ekonomske i financijske analize takvih ulaganja. RAZMATRANJE KORIŠTENJA METODA EKONOMSKOG I FINANCIJSKOG ODLUČIVANJA PRI INVESTIRANJU U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU PODUZEĆA je naslov trećeg, analitičkog dijela rada u kojemu se detaljnije ulazi u metodologiju ekonomske i financijske analize primijenjene na sustave upravljanja informacijskom sigurnošću poduzeća. Razmatra se primjenjivost i specifičnost pojedinih metoda te se obrazlaže način njihove primjene. Četvrti dio rada usmjeren je ka nu enju novoga pogleda na problematiku ekonomske i financijske analize kapitalnih ulaganja u sustave upravljanja informacijskom sigurnošću poduzeća, te produbljuje tematiku prethodnih dijelova na način da se predlaže korištenje nove metode za odlučivanje o ulaznim parametrima modela te se predlaže okvirni model interakcije izme u tehničkih zahtjeva i zahtjeva koje postavlja ekonomsko-financijska analiza u kapitalna ulaganja u sustav upravljanja informacijskom sigurnošću. Naslov ovog dijela rada je MODEL KORIŠTENJA FINANCIJSKIH KRITERIJA PRI ODLUČIVANJU O INVESTIRANJU U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU. ZAKLJUČAK je posljednji dio rada, u kojemu se sustavno rekapituliraju spoznaje do kojih se došlo u procesu istraživanja i koje dokazuju postavljenu hipotezu.

8

2. SPECIFIČNOSTI REALNIH ULAGANJA U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU PODUZEĆA Za kvalitetnu prezentaciju ove problematike potrebno ju je obraditi u tri me usobno povezane tematske jedinice, i to: 1) čimbenici sustava upravljanja informacijskom sigurnošću, 2) pregled oblika ulaganja u sustave upravljanja i 3) poteškoće pri odre ivanju ulaznih parametara financijske analize. 2.1 ČIMBENICI SUSTAVA UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU Informacijska sigurnost je aktivnost zaštite informacija i informacijskih sistema od neautoriziranog pristupa, uporabe, otkrivanja, prekida, promjena ili uništenja.1 Informacijska se sigurnost osigurava kroz principe zaštite povjerljivosti, integriteta i raspoloživosti informacija. 2 Strategijska važnost informacijske sigurnosti u upravljanju poduzećem razvidna je već i iz činjenice da identificirane strateške, taktičke i operativne jedinice unutar poduzeća koje su uključene u provo enje funkcije informacijske sigurnosti nemaju izoliranu odgovornost po pitanju provo enja plana informacijske sigurnosti pošto su njihove odgovornosti obično me usobno isprepletene, ali je isto tako i s rizicima koji su dijeljeni kroz cijelu organizacijsku strukturu poduzeća. Tako jedan odjel može biti vlasnik podataka koji se odnose na zdravlje zaposlenika, stoga njihov značaj nadilazi operativnu razinu i prelazi na stratešku.3 Rizik je stohastički koncept koji opisuje potencijalno negativan utjecaj na poslovanje poduzeća ili neku karakteristiku promjene vrijednosti koja može proizaći iz nekog postojećeg procesa ili budućeg doga aja. U svakodnevnoj uporabi, termin rizik se često koristi simultano s mogućnošću poznatog gubitka. Prema tome, rizik je u direktnoj povezanosti s ljudskim očekivanjima. Kod profesionalne procjene rizika, on kombinira vjerojatnost nastanka doga aja s time koliki je utjecaj tog doga aja na poslovanje poduzeća. Vrlo često u poslovnom kontekstu rizik se može izraziti novčano, dakle bilo kao direktan dodani trošak ili propuštena dobit.

http://www.law.cornell.edu/uscode/44/usc_sec_44_00003542----000-.html (18.05.2010.) U informacijskoj sigurnosti ovaj koncept poznat je kao „C-I-A trijada“ (eng. Confidentiality (povjerljivost)Integrity (integritet)-Availability(raspoloživost)) 3 Birchler, U., Bütler, M., „Information Economics“, Routledge Advanced Texts in Economics and Finance, Routledge, 2007., p.45
2

1

9

Glavni cilj procjene rizika nije samo identificirati sve potencijalne rizike i prijetnje podacima i sigurnosti informacijskog kapitala nego i stvoriti bazu za konstantno poboljšavanje plana i strategije informacijske sigurnosti s obzirom na najnovije rizike i prijetnje koji proizlaze iz operativnih potreba i činjenice da su informacijski sustavi dinamični te se stalno razvijaju. Po definiciji takav plan nikada nije posve primijenjen pošto se mora stalno dopunjavati. Identificiranje rizika podrazumijeva predvi anje razumnih i predvidivih vanjskih i unutrašnjih opasnosti po informacijski sustav i integritet povjerljivih podataka koji bi mogli rezultirati slučajnim i neautoriziranim otkrivanjem, zlouporabom, promjenom, uništenjem ili nekim drugim načinu kompromitiranja takvih informacija. Grafički je proces procjene i upravljanja rizikom prikazan na shemi 1. Shema 1: Proces procjene i upravljanja rizikom

Izvor: Košutić, D.: “Elementi procjene i upravljanja informacijskim rizicima”, Kvadra Savjetovanje d.o.o, Zagreb, 2007., p.2. Sve moguće rizike je izrazito teško identificirati. Budući da je razvoj tehnologije dinamična a ne statična kategorija, stalno se pojavljuju novi rizici koje u trenutku klasifikacije vjerojatno nije niti moguće predvidjeti. Zbog pojave novih rizika i tehnologija za njihovo umanjenje,
10

metodologiju identifikacije i obrade rizika treba stalno iznova provjeravati u periodičkim intervalima kako bi se na vrijeme prepoznali i uklonili novi rizici ili makar smanjio njihov utjecaj. Moderno upravljanje informacijskom sigurnošću u sebi mora pomiriti ne samo ciljeve poslovanja poduzeća nego i niz drugih, eksternih kriterija. Oni se mogu podijeliti na tri različita skupa kriterija perspektiva koje treba zadovoljiti: Tehnocentrična perspektiva, koja ima jak fokus na pripadajuću informacijsku tehnologiju koja poboljšava dijeljenje informacija i njihovo stvaranje. Tehnocentrična perspektiva inzistira na uvo enju tehnologije u svrhu osiguravanja informacija poduzeća. Organizacijska perspektiva, koja je fokusirana na to kako organizacija mora biti postavljena da bi na najbolji način mogla omogućiti zaštitu informacija. Organizacijska perspektiva fokusirana je na uvo enje adekvatnih organizacijskih obrazaca koji pospješuju zaštitu informacija poduzeća. Ekološka perspektiva, s fokusom na interakciju poduzeća i čimbenike okoline, polazeći od činjenice kako je suradnja ljudi u procesu zaštite informacija usporediva s funkcioniranjem prirodnog ekosistema jer se u oba slučaja radi o kompleksnim adaptabilnim sustavima. U okviru ekološke perspektive, poduzeće mora zadovoljiti zahtjeve zakonodavca, certifikacijskih sustava (u tom segmentu ekološka i organizacijska perspektiva se preklapaju) te zahtjeve okoline po pitanju čuvanja informacija u vlastitim informacijskim sustavima. Osnovni dokument koji definira kritične čimbenike upravljanja informacijskom sigurnošću naziva se planom informacijske sigurnosti. Taj plan mora biti prilago en organizaciji na koju se primjenjuje i stoga može posjedovati različite razine kompleksnosti. U okviru njega se istražuju rizici koji se mogu pojaviti a imaju utjecaj na poslovni sustav te predložiti odre ene akcije koje se mogu poduzeti kako bi se oni minimizirali ili u potpunosti izbjegli. Plan informacijske sigurnosti razvija se u skladu s internom dokumentacijom organizacije ili poduzeća koja je identificirana kao osnova za pripremu plana i relevantna je za odvijanje poslovnih procesa. U dokumentu se inicijalno izlaže jasna izjava o ovisnosti procesa unutar
11

-

poduzeća o informacijskom kapitalu uskladištenom na razne načine, od papirnate dokumentacije do magnetooptičkih medija, te volja uprave poduzeća da se uvede dokumentirana procedura koja će promovirati sigurnosnu funkciju unutar tvrtke. Nakon identifikacije potrebne dokumentacije (standarda, smjernica i sigurnosnih politika) propagiranih s vrha upravljanja poduzećem, definira se metodologija koju se slijedi tijekom izrade plana4, prikazana na shemi 2: Shema 2: Koraci pripreme plana informacijske sigurnosti

Izvor: Aksentijević, S.: “Integralna zaštitna funkcija unutar poduzeća i sustav upravljanja informacijskom sigurnošću – Saipem Mediteran Usluge d.o.o, Rijeka”, završni rad poslijediplomskog specijalističkog studija, Ekonomski fakultet, Rijeka, 2008, p.91. (neobjavljen)

4

Navedena metodologija korištena je kod uspostavljanja sustava upravljanjem informacijskom sigurnošću u poduzeću Saipem Mediteran Usluge d.o.o., Rijeka, detaljnije Cf. Aksentijević, S., op. cit., p. 4.

12

U praksi najprihvaćeniji sustav standardizacije procesa upravljanja sustavom informacijske sigurnosti je ISO obitelj standarda pod oznakom ISO 27001:2005. Sam standard bazira se na PDCA5 modelu koji se primjenjuje na sve strukture procesa sustava za upravljanje informacijskom sigurnošću, a prikazuje ga shema 5.

Shema 3: PDCA (“Planiraj-Učini-Provjeri-Primijeni”) ciklus

Izvor: Hlača, B., Aksentijević, S., Tijan, E.:“Influence of ISO 27001:2005 on the Port of Rijeka security”, Pomorstvo, Pomorski fakultet, Rijeka, god. 22, br. 2, 2008., p. 247. Temeljne sastavnice PDCA ciklusa su sljedeće6: 1) Planiranje uspostavljanja ISMS-a7. U ovoj fazi potrebno je uspostaviti politiku informacijske sigurnosti, ciljeve, procese i procedure koje su potrebne za upravljanje rizikom i poboljšanje informacijske sigurnosti te koji doprinose ostvarivanju cjelokupnosti ciljeva organizacije. 2) Implementacija (primjena i korištenje ISMS-a). Uvode se i operativno koriste politika, kontrole, procese i procedure koje se tiču sustava upravljanja informacijskom sigurnošću.
skraćenica od eng. “Plan-Do-Check-Act”, odnosno “planiraj-učini-provjeri-primijeni” W. Edwards Deming je 1950-tih godina predložio da se poslovni procesi analiziraju i mjere kako bi se identificirali izvori varijacija koji uzrokuju da se proizvodi i usluge razlikuju od zahtijeva klijenata. U okviru tog prijedloga razvio je jednostavni model kojim rukovoditelji mogu identificirati i promijeniti one dijelove procesa koje treba unaprijediti. Za detaljno objašnjenje PDCA ciklusa cf. http://www.balancedscorecard.org/thedemingcycle/tabid/112/default.aspx (19.05.2010.) 7 skraćeno od eng. „Information Security Management System“, odnosno sustav upravljanja informacijskom sigurnošću
6 5

13

3) Provjera (praćenje i revizija ISMS-a). Tijekom faze provjere mjeri se funkcioniranje sustava informacijske sigurnosti u praksi te uspore uje s politikama, ciljevima i praktičnim iskustvom te se potom dobiveni rezultati predočavaju upravi. 4) Primjena (održavanje i poboljšavanje ISMS-a). Nakon provjere poduzimaju se korektivne i preventivne akcije na osnovi rezultata interne revizije sustava, kako bi se uspostavilo konstantno poboljšavanje sustava upravljanja informatičkom sigurnošću. Klasično razmatranje ISMS sustava je jako pomaknuto ka tehnološko-tehničkom smislu i uobičajena je lišenost prikaza utjecaja na financijski rezultat poduzeća. Vrlo često su zamagljeni čak i ukupni troškovi takvog sustava budući da se oni ukoliko ih se promatra u okviru tehnološkog okvira smatraju „nužnima“ ili se prikazuju dijelovima nekog drugog sustava. Još je lošija praksa promatranja troškova i investicija u takve sustave kao tzv. nepovratnih ili „potonulih“ troškova8 što često vodi ka neadekvatno organiziranim ISMS sustavima poduzeća. Iz tog razloga potrebno je proširiti vidokrug promatranja ISMS sustava i u njihovu analizu poradi sveobuhvatnosti uključiti i razmatranje financijskog utjecaja uvo enja i održavanja pojedinih elemenata ISMS-a u cjelokupnosti poslovanja poduzeća. 2.2 PREGLED OBLIKA ULAGANJA U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU PODUZEĆA U uobičajenoj paradigmi poslovnog financiranja ocjenjuje se investicijska vrijednost imovine koju poduzeće posjeduje ili kontrolira a koja proizvodi odre eni prihod (ili novčani tijek), često povezan s vezanim troškovima (npr. održavanja, nabave sirovina). Imovina se obično dijeli na materijalnu (strojevi, zgrade), nematerijalnu (patenti, računalni programi, goodwill) te poseban oblik koji je sposoban „sam od sebe“ odbacivati prihod, a to je financijska imovina. Jedan od alata kojim se financijski rukovoditelji najčešće koriste je odre ivanje je li je neto sadašnja vrijednost neke imovine pozitivna koristeći marginalni trošak kapitala koji je relevantan za odre enu vrstu posla ili poduzetničkog poduhvata.
8

eng. „sunk cost“, hrv. minuli trošak – radi se o prošlim troškovima (ili investicijama) koji su već učinjeni i ne može se promijeniti odluka o njihovom uključivanju u projekt. Kolokvijalno ovaj se izraz u korporativnoj praksi često koristi za one investicije ili troškove koji se ne mogu dovesti u vezu s ostvarenjem poslovnog rezultata ili su izvan predmeta temeljnog poslovanja poduzeća ili projekta.

14

Sustavi upravljanja informacijskom sigurnošću, promatrano na tehničkoj razini, sastoje se od sljedećih komponenti koje se nalaze u hijerarhijskom odnosu: 1. organizacijski oblici koji osiguravaju uskla enost sa zakonskim propisima. 2. organizacijska informacijska politika, odnosno opredmećeno znanje korisnika i rukovodstva vezano uz sustave upravljanja i funkcioniranja ISMS-a koje rezultira adekvatnom primijenjenošću metoda uklanjanja rizika korištenjem hardvera, programa i organizacijskih oblika i metoda, a koje je često formalizirano postizanjem sigurnosne certifikacije (npr. već spomenuti ISO 27001:2005), 3. računalni hardver (serveri, preklopnici, računala, mrežni ure aji, usmjernici), 4. računalni programi (softver) i programska rješenja. Me usobni odnos ovih komponenti prikazan je na shemi br. 4. Shema 4: Shematski prikaz interakcije raznorodnih rješenja kojima se postižu ciljevi informacijske sigurnosti

Izvor: sačinio doktorand
15

Svaka od navedenih komponenti veže se uz odre enu razinu troška pri čemu postoji visoka razina supstitutivnosti rješenja u smislu tretmana kapitalnog ulaganja ili tekućeg troška. Naime, gotovo sva računalna rješenja danas, a osobito u kompleksnim korporativnim okruženjima mogu se dobiti u obliku koji se može tretirati kao investicija ili kao tekući trošak.9 Tako se npr. umjesto kupovine računalnih aplikacija mogu iznajmljivati rješenja po modelu SaaS („softver kao usluga“), dok se umjesto kupovine računalnog hardvera mogu iznajmljivati rješenja „računalstva u oblacima“. Na tehničkoj razini takva divergentnost mogućih rješenja stvara velike probleme u smislu stalnih zahtjeva za dodatnim obrazovanjem koji proizlaze i iz brze zamjene produkcijskih tehnologija dok na ekonomskoj razini još više zamagljuju ukupni trošak investicije. Cjelokupnost proračuna odjela za upravljanje sustavima informacijske sigurnosti prikazuje tablica 1. Kao što se vidi, i na praktičnoj razini postoji čitav niz vezanih troškova uspostavljanja i funkcioniranja sustava upravljanja informacijskom sigurnošću koji se odnose na aplikacije, informacijsku i telekomunikacijsku infrastrukturu. U poduzećima mogu postojati i drugi vezani troškovi informacijske sigurnosti koji nisu prikazani u navedenoj tablici koja isključivo adresira tehničke discipline (npr. trošak obrazovanja osoblja koje uvodi tehnologije informacijske sigurnosti ili trošak obrazovanja zaposlenika za korištenje novih informacijsko sigurnosnih tehnologija). U smislu investicijskih ulaganja, u tablici su pod 1. prikazani osnovni investicijski oblici koji se odnose na sigurnosni hardver, softver, sigurnosna telekomunikacijska rješenja, investicijska ulaganja u informacijsku i telekomunikacijsku infrastrukturu i sigurnosne studije i organizacijske implementacije pod kojima se mogu razmatrati i sigurnosne strukovne certifikacije sustava.

Hirshleifer, J., Riley, John G., "The Analytics of Uncertainty and Information", Cambridge Surveys of Economic Literature, Cambridge, UK, 1992., p. 98.

9

16

Tablica 1: Struktura proračuna odjela za upravljanje sustavima informacijske sigurnosti
KAPITALNO BUDŽETIRANJE 1.1. Kupovina hardvera 1.2. Kupovina telekomunikacijskih sigurnosnih rješenja 1.3. Kupovina osnovnog sigurnosnog softvera 1. 1. NAZIV INVESTICIJE 1.4. Kupovina aplikacijskog sigurnosnog softvera 1.5. Ulaganja u strateške sigurnosne studije/Razvoj sigurnosno-aplik. rješenja 1.6.Ulaganja u informacijsko-sigurnosnu infrastrukturu 1.7. Ulaganje u sigurnost telekomunikacijskih i mrežnih sustava UKUPNE INVESTICIJE TEKUĆI TROŠAK OPIS TIPA TROŠKA 2.1.1. Strateške sigurnosne studije 2.1.2. Razvoj sigurnosnih aplikacija 2.1. APLIKACIJE 2.1.3. Trošak upravljanja sigurnosnim aplikacijama 2.1.4. Održavanje sigurnosno aplikacijskog softvera 2.1.5. Najam sigurnosno aplikacijskog sof tvera 2.1.6. Leasing sigurnosno aplikacijskog softvera UKUPNI APLIKACIJSKI TROŠAK 2.2.1. Razvoj informacijsko-sigurnosne infrastrukture 2.2.2. Korisnička podrška 2.2.3.Infrastrukturne usluge za informacijsko-sigurnosna rješenja 2.2.4. Usluge za sigurnosno-aplikacijske servere 2.2. INFORMACIJSKOSIGURNOSNA INFRASTRUKTURA 2.2.5. Usluge za korporativna sigurnosna rješenja 2.2.6.Usluge sigurnosnog konzaltinga 2.2.7. Održavanje sigurnosno aplikacijskog hardvera 2.2.8. Održavanje osnovnog informacijsko-sigurnosnog softvera 2.2.9. Najam osnovnog informacijsko-sigurnosnog softvera 2. 2.2.10. Najam i leasing informacijsko-sigurnosnog hardvera 2.2.11. Kupovina informacijsko-sigurnosnog rješenja (neinvesticijsko) UKUPNI TROŠAK INFORMACIJSKO-SIGURNOSNE INFRASTRUKTURE 2.3.1. Razvoj sigurnosno-telekomunikacijske infrastrukture 2.3.2. Sigurnosne usluge za lokalnu mrežu (LAN) 2.3.3. Sigurnosne usluge za fiksnu telefoniju 2.3.4. Sigurnosne usluge za mobilnu telef oniju 2.3. TELEKOMUNIKACIJSKO- 2.3.5. Sigurnosne usluge prijenosa podataka SIGURNOSNA 2.3.6. Sigurnosne usluge za korištenje Interneta INFRASTRUKTURA 2.3.7. Ostale sigurnosne usluge 2.3.8. Usluga održavanja sigurnosno telekomunikacijskog hardvera 2.3.9. Usluga održavanja sigurnosno telekomunikacijskog softvera 2.3.10. Najam sigurnosno telekomunikacijskih rješenja 2.3.11.Kupovina telekomunikacijsko sigurnosniih rješenja (neinvesticijsko) UKUPAN TROŠAK TELEKOMUNIKACIJSKO SIGURNOSNIH RJEŠENJA POD-SUMA INFORMACIJSKO TEHNOLOŠKIH PODRUČJA 2.4. OSTALO 2.4.1. Trošak potrošnog materijala UKUPNI OPERATIVNI TROŠAK OPIS

Izvor: sačinio doktorand

17

U okviru ovoga rada promatraju se isključivo investicijska ulaganja u sustave upravljanja informacijskom sigurnošću (kapitalno budžetiranje). 2.3 POTEŠKOĆE PRI ODRE IVANJU ULAZNIH PARAMETARA FINANCIJSKE ANALIZE Pri udaljavanju od tehničko-tehnološkog i organizacijskog aspekta sustava upravljanja informacijskom sigurnošću i razmatranju karakteristika investicija u takve sustave, nužno se dolazi do čitavog niza poteškoća pri odre ivanju ulaznih parametara financijske analize. Neke od tih poteškoća su sljedeće: 1. Odluka o investiranju u sustave upravljanja informacijskom sigurnošću ovisi o procjeni rizika kao stručno-specijalističkoj aktivnosti. Praktična procjena rizika informacijske sigurnosti u pravilu u sebi ne sadrži kvantitativne financijske pokazatelje već se bazira na iskustvenoj procjeni mogućnosti nastupa neželjenog doga aja i utjecaju na poslovanje koji je lišen kvantificiranja moguće štete. Radi se o apstraktnoj, tehničkoj procjeni koja kao rezultat daje pokazatelje koji stručnjacima za informacijsku sigurnost govore na koja područja treba obratiti posebnu pažnju kako bi se postigli zadani poslovni ciljevi informacijske sigurnosti. Paradoksalno, upravo zbog toga što procjenu rizika osim osnovnog troškovnika uglavnom ne prati nikakva detaljna financijska analiza, menadžment koji odlučuje o investicijama a ne posjeduje specifična tehnička znanja, zazire od investicija u sustave upravljanja informacijskom sigurnošću i često implicitno preuzima nerazumno visoke razine rizika. Moguć je i obrat opisane situacije, a to je da se pretjerano investira u sustave upravljanja informacijskom sigurnošću. Ova specifičnost proizlazi iz tradicionalne odvojenosti procesa upravljanja informacijskom sigurnošću, kontrolama i rizikom od korporativnog upravljanja funkcijom informatike koja je više orijentirana ka procjeni efikasnosti sustava i osiguravanja adekvatnog povrata na uložene investicije. 2. Visoka razina supstitutivnosti investicijskih ulaganja u sustave informacijske sigurnosti troškovima koji se mogu smatrati tekućim troškovima otežava odlučivanje o ulaganju. U pravilu se na prvi pogled takva alternativna rješenja čine financijski isplativijima, no površne analize često ne uključuju mnoge skrivene troškove kao što su trošak edukacije
18

korisnika, trošak edukacije tehničkog osoblja koje će raditi na njihovom održavanju i implementaciji itd. 3. Softverska, hardverska i telekomunikacijska rješenja koja poduzeća nabavljaju u smislu dugoročnih investicija gotovo redovno u sebi kriju i nužnost sklapanja ugovora o održavanju (tzv. maintenance contract). Takvi ugovori pružaju korisniku podršku korisniku tijekom životnog perioda sigurnosnog rješenja, no vrlo često u praksi sigurnosna rješenja nije niti moguće koristiti ukoliko takav ugovor nije sklopljen. U slučaju da ugovor o održavanju nije sklopljen, odre eni softverski ili hardverski proizvod ne bi primao sigurnosne zakrpe ili ne bi bio osvježavan zakrpama koje rješavaju odre ene probleme na koje se naišlo tijekom rada. U slučaju antivirusnih i antispam rješenja ili mrežno-telekomunikacijskih ure aja sa sigurnosnim značajem, ne bi bilo moguće primati trenutačne definicije odre enih napada ili vezanih profila. Vrlo često u slučaju da nije sklopljen ugovor o održavanju, nije moguće odre eno rješenje u potpunosti integrirati u sustav upravljanja informacijskom sigurnošću jer postavke ne bi omogućile njegovu integraciju i primjenu na veliki broj radnih mjesta ili korisnika. Zato je potrebno pri analizi ulaznih parametara dobro razlikovati koji dio inicijalnog troška predstavlja investiciju a koji je trošak godišnjeg održavanja kako bi se pravilno odredio ukupan trošak posjedovanja odnosno uvo enja i korištenja odre enog informacijsko sigurnosnog rješenja. 4. Vrlo je komplicirano ispravno predvidjeti ima li neka investicija u informacijsku sigurnost ostatak vrijednosti ili ne i koliki je on objektivno. Naime, neke vrste takvih sigurnosnih sustava imaju dug vijek trajanja (npr. telekomunikacijska i mrežna rješenja) i mogu se uz održavanje koristiti i nakon što su računovodstveno u potpunosti amortizirana. Funkcionalnost nekih takvih sustava ovisi o tome koliko se dugo plaća održavanje proizvo aču jer je on u mogućnosti stalno nadogra ivati odre eni proizvod i činiti ga kurentnim, odnosno obnavljati ga, a to je osobito istinito u slučaju softverskih sigurnosnih rješenja. 5. U slučaju mikro, malih i srednjih poduzeća, često ne postoje specifična znanja koja bi bila potrebna kako bi se moglo adekvatno procijeniti utjecaj ulaganja u informacijsku sigurnost na poslovanje poduzeća.

19

3. RAZMATRANJE KORIŠTENJA METODA EKONOMSKOG I FINANCIJSKOG ODLUČIVANJA PRI INVESTIRANJU U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU PODUZEĆA Obrada ove problematike nameće potrebu da se detaljno prouče sljedeće tematske cjeline: 1) specifičnosti ekonomskog toka 2) specifičnosti novčanog toka, 3) problemi pri korištenju metode interne stope prinosa, 4) odlučivanje o zamjeni implementiranog sigurnosnog rješenja, te 5) ostale mogućnosti korištenja financijskih metoda pri odlučivanju o ulaganju u sustave upravljanja informacijskom sigurnošću. 3.1 SPECIFIČNOSTI EKONOMSKOG TOKA Kod analize ekonomskog toka sigurnosnog rješenja upravljanja sustavom informacijske sigurnosti zanemaruju se struktura izvora financiranja (vlastita sredstva ili kredit, odnosno financijska poluga.) Razlog za to je činjenica što kamate po uzetim kreditima ne smanjuju ekonomski potencijal rješenja u koje je investirano ili imovinu, nego smanjuju financijski potencijal poduzeća. Klasična analiza ekonomskog toka investicije, a u promatranom slučaju investicije u informacijsko-sigurnosnu infrastrukturu zahtijeva inicijalnu procjenu učinaka koji su svedeni na tržišne cijene iz prve godine vijeka projekta. Izdacima se pritom smatraju one stavke koje smanjuju ekonomski potencijal projekta ili rješenja. U ovom kontekstu, izdacima bi se mogli smatrati: 1. inicijalna investicija u informacijsko sigurnosno rješenje ili projekt 2. trošak održavanja promatranog rješenja ili projekta 3. materijalni troškovi korištenja promatranog rješenja (npr. struja, klimatizacija) 4. troškovi vanjskih usluga pri korištenju promatranog rješenja (npr. konzultantske usluge) 5. troškovi edukacije stalnih zaposlenika pri uvo enju 6. troškovi edukacije stalnih zaposlenika u korištenju 7. bruto plaće zaposlenih na uvo enju rješenja (svedeno na angažirane ekvivalente)

20

Kod upotrebe analize ekonomskog toka sigurnosnog rješenja postavlja se problem odre ivanja primitaka kojima se suprotstavljaju izdaci. Oni se u klasičnom smislu sastoje od ukupnog prihoda tijekom eksploatacije te procijenjenog ostatka vrijednosti na kraju eksploatacije. Takve primitke moguće je definirati nedvojbeno samo u slučaju poduzeća čija je djelatnost orijentirana ka nabavi i pružanju sigurnosnih rješenja drugima i koji zapravo pružaju uslugu drugima a sami poduzimaju investicijsku aktivnost. Svi drugi od investicija u informacijsko sigurnosna rješenja ne deriviraju prihode, no izdacima u analizi ekonomskog toka mogla bi se suprotstaviti potencijalna šteta koju poduzeće može podnijeti ukoliko do e do ostvarenja odre enog sigurnosnog propusta po godinama korištenja nekog sigurnosnog rješenja. Sa statičkog stajališta ovakvog modificiranog ekonomskog toka, inicijalno bi opravdana bila ona investicija u sigurnosno rješenje kod koje su ukupne, kumulativne koristi, odnosno ukupni izbjegnuti trošak nastupa sigurnosnih propusta uvećan za ostatak vrijednosti veći od ukupnih troškova uvo enja sigurnosnog rješenja. Takvu situaciju prikazuje tablica br. 2. Tablica br. 2: Analiza modificiranog ekonomskog toka ulaganja u informacijsku sigurnost struktura/razdoblje 1. 2. 3. IZBJEGNUTI TROŠAK 1 ... 2 ... 3 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...

OSTATAK VRIJEDNOSTI IZDACI u rješenje

2.1+2.2+2.3+2.4+2.5+2.6+2.7 ... sigurnosno ... ... ... ... pri ... pri ... ... ... ... ... ... ...

3.1 Investicija

3.2 Trošak održavanja 3.3 Materijalni troškovi 3.4 Troškovi vanjskih usluga 3.5 Troškovi uvo enju 3.6 Troškovi korištenju 3.7 Brutto plaće edukacije edukacije

21

4.

NETO EFEKT

1.+2.-3.

Izvor: sačinio doktorand 3.2 SPECIFIČNOSTI NOVČANOG TOKA Kao i kod metode ekonomskog toka, metoda novčanog (financijskog) toka može se primijeniti na investicije u rješenja informacijske sigurnosti u nemodificiranom obliku samo u slučaju da poduzeće drži u svom vlasništvu kao imovinu takva sredstva i daje ih u najam drugim korisnicima. Za razliku od metode ekonomskog toka, metoda novčanog toka uzima u obzir i izvore financiranja u smislu primitaka odnosno obveze prema izvorima financiranja (kamate). Tablica br. 3: Modificirana metoda novčanog toka pri ulaganju u informacijsku sigurnost struktura/razdoblje 1. 2. 3. 4. IZBJEGNUTI TROŠAK UKUPNO PRIMICI UKUPNI IZDACI u rješenje 4.2 Trošak održavanja 4.3 Materijalni troškovi 4.4 Troškovi vanjskih usluga 4.5 Troškovi uvo enju 4.6 Troškovi korištenju 4.7 Brutto plaće angažirana fin. sredstva) 4.9 Otplatna kvota 5. NETO EFEKT 3.-4. ... ... ... ... ... ... ... 4.8 Kamate na kredit (tu a ... edukacije pri ... ... edukacije ... ... ... pri ... ... ... ... ... ... ... ... ... ... ... ... ... 1 ... 1+2 2 ... ... ... 3 ... ... ... ... ... ... ... ... ... ... ...

OSTATAK VRIJEDNOSTI ...

4.1+4.2+4.3+4.4+4.5+4.6+4.7+ ... ...

4.1 Investicija

sigurnosno ...

Izvor: sačinio doktorand
22

Problem koji se postavlja kod ovakvog gledišta je sličan kao kod analize ekonomskog toka, a sastoji se u odre ivanju izbjegnutog troška. U dinamičkoj analizi mogle bi se u nastavku koristiti klasične dinamičke metode10, a to su: 1. Metoda razdoblja povrata investicijskih ulaganja koja predstavlja najjednostavniji kriterij financijskog odlučivanja o realnim investicijama. Njome se izračunava broj godina u kojima će se vratiti uložena sredstva u odre eni projekt, a u zadanom kontekstu, u informacijsko sigurnosno sredstvo ili sustav upravljanja informacijskom sigurnošću. U slučaju da se iz izračuna želi eliminirati nedostatak neuzimanja vremenske vrijednosti novca, koristit će se metoda diskontiranog perioda povrata. • Različiti čisti novčani tokovi u cjelokupnom vijeku efektuiranja projekta:
tp

I = ∑ Vt
t =1

• Konstantni čisti novčani tokovi u cjelokupnom vijeku efektuiranja projekta:
2. t p =
I Vt

V1 = V2 = ... = VT ≡ Vt
u obje formule je: I - investicijski troškovi Vt – konstantni čisti novčani tokovi po godinama t tp – razdoblje (period) povrata

• Prag efikasnosti – uvjet prihvaćanja ili odbacivanja:
t p < t z gdje je:

tp - period povrata tz – zadani – maksimalno prihvatljiv – period povrata

10

http://www.scribd.com/doc/75998229/Metode-Za-Ocjenu-Financijske-Efikasnosti, (25.11.2011.)

23

2. Metoda diskontiranog perioda povrata – varijanta metode razdoblja povrata u kojoj se nastoji eliminirati nedostatak ne uzimanja u obzir vremenske vrijednosti novca.
tp

I = ∑ Vt
t =1

p 1 ili I = ∑ Vt II kt (1 + k )t t =1

t

gdje je: I - investicijski troškovi Vt – čisti novčani tokovi po godinama t tp – razdoblje (period) povrata k – diskontna stopa IIkt – druge financijske tablice za diskontnu stopu k i za godinu t

3. Metoda čiste neto sadašnje vrijednosti investicijskog ulaganja u informacijsku sigurnost,
koja predstavlja razliku izme u sume diskontiranih novčanih tokova u cjelokupnom vijeku korištenja informacijsko-sigurnosnog sredstva • Različiti čisti novčani tokovi u cjelokupnom vijeku efektuiranja projekta:
T

So = ∑
t =1

T Vt − I ili S o = ∑ Vt × II kt − I t (1 + k ) t =1

gdje je: SO – čista sadašnja vrijednost I - investicijski troškovi Vt – čisti novčani tokovi po godinama t T– vijek efektuiranja projekta k – diskontna stopa
II kt – druge financijske tablice za diskontnu stopu k i za godinu t

• Konstantni čisti novčani tokovi u cjelokupnom vijeku efektuiranja projekta:

So

(1 + k )T − 1 − I ili = Vt (1 + k )T k

S o = Vt IVkt − I

V1 = V2 = ... = VT ≡ Vt
24

gdje je: SO – čista sadašnja vrijednost I - investicijski troškovi Vt – konstantni čisti novčani tokovi po godinama t T– vijek efektuiranja projekta k – diskontna stopa
IVkt – četvrte financijske tablice za diskontnu stopu k i za godinu t

• Prag efikasnosti – uvjet prihvaćanja ili odbacivanja: S o ≥ 0
4. Metoda interne stope profitabilnosti ulaganja u informacijsku sigurnost. Ona predstavlja

internu diskontnu stopu koja svodi čiste novčane tokove korištenja informacijskosigurnosnog sredstva na vrijednost njegovih investicijskih tokova. • Različiti čisti novčani tokovi u cjelokupnom vijeku efektuiranja projekta:
T t =1

∑ (1 + R )
gdje je: R – interna stopa profitabilnosti I - investicijski troškovi

Vt

t

=I

Vt – čisti novčani tokovi po godinama t T– vijek efektuiranja projekta Interpolacija:
y = y1 + y2 − y1 (x − x1 ) x2 − x1

gdje je: y – tražena interna (diskontna) stopa profitabilnosti y1 i y2 – diskontne stope izme u kojih se vrši interpolacija x – čista sadašnja vrijednost za internu stopu (nulta vrijednost) x1 i x2 – čiste sadašnje vrijednosti za diskontne stope y1 i y2

25

• Konstantni čisti novčani tokovi u cjelokupnom vijeku efektuiranja projekta:
IVRT = I Vt

gdje je: R – interna stopa profitabilnosti I - investicijski troškovi Vt – konstantni čisti novčani tokovi po godinama t T– vijek efektuiranja projekta
IVkt – četvrte financijske tablice za diskontnu stopu k i za godinu t

• Prag efikasnosti – uvjet prihvaćanja ili odbacivanja: R ≥ k (k – trošak kapitala)

5. Indeks profitabilnosti može se koristiti kao dodatni kriterij investicijskog odlučivanja. On je

odnos diskontiranih čistih novčanih tijekova informacijsko sigurnosnog rješenja u cjelokupnom njegovom životnom vijeku i njegovih investicijskih troškova. • Različiti čisti novčani tokovi u cjelokupnom vijeku efektuiranja projekta:
T t =1

PI =

∑ (1 + k )
I

Vt

T

t

∑V
ili PI =
t =1

t

× II kt

I

gdje je PI – indeks profitabilnosti I - investicijski troškovi Vt – čisti novčani tokovi po godinama t T – vijek efektuiranja projekta k – diskontna stopa IIkt – druge financijske tablice za diskontnu stopu k i za godinu t

• Konstantni čisti novčani tokovi u cjelokupnom vijeku efektuiranja projekta:

26

Vt PI = gdje je

(1 + k )T − 1 (1 + k )T k
I

ili PI =

Vt * IVkt I

IVkt – druge financijske tablice za diskontnu stopu k i za godinu t • Prag efikasnosti – uvjet prihvaćanja ili odbacivanja: PI ∑ 1

3.3 PROBLEMI PRI KORIŠTENJU METODE INTERNE STOPE PRINOSA Klasično razmatranje korištenja interne stope prinosa zahtijeva da diskontna stopa koja izjednačuje investicijska ulaganja s čistim novčanim tokovima bude veća od definirane diskontne stope koja ovisi o rizičnosti i troškovima kapitala. Klasični problem s višestrukim internim stopama povrata u pravilu kod primjene u investicije u informacijsku sigurnost nije prisutan. Budući da je pretpostavka kako su sigurnosni rizici prisutni tijekom cijelog vremena korištenja odgovarajućeg sigurnosnog rješenja ili sistema, te da je raspored novčanih tijekova identičan (nema promjene novčanih tokova i zadnji nije negativan), može se koristiti klasična metode interne stope povrata. Me utim, kod korištenja metode interne stope prinosa u analizi ulaganja u sustave informacijske sigurnosti treba na umu imati sljedeće činjenice: Ova se metoda ne može koristiti pri analizi ili usporedbi investicija u više različitih sigurnosnih rješenja nego samo u pojedinačnoj analizi svakog rješenja je dobiveni rezultati nisu usporedivi, Interna stopa prinosa podrazumijeva reinvestiranje pozitivnog novčanog tijeka u projekte ili rješenja koja imaju jednaku stopu povrata, neovisno o tome radi li se o reinvestiranju u ista rješenja ili druga usporediva. Iz tog razloga će metoda interne stope povrata precjenjivati one projekte kod kojih reinvestirani novčani tijek odlazi u projekte s manjom stopom povrata. Ovo je osobito istinito za ona rješenja ili sigurnosne projekte koji imaju visoke stope povrata jer je poduzećima
često teško naći usporedive projekte za reinvestiranje po jednako visokim

(atraktivnim) stopama,
27

U pravilu, novčani tokovi ne mijenjaju predznak i zadnji novčani tok sigurnosnog rješenja zasigurno nema negativan predznak, stoga se u praksi ne pretpostavlja da bi mogao postojati problem višestrukih internih stopa prinosa. Metoda interne stopa povrata dat će samo relativnu izmjeru povrata u sredstvo ili sustav informacijske sigurnosti a ne i njegov apsolutni iznos.

Polazne pretpostavke izračuna su sljedeće: 1. Izvršeno je početno investicijsko ulaganje u sigurnosno informacijsko rješenje, 2. Ne postoji oportunitetni trošak tog ulaganja, 3. Postoji minimalni ostatak vrijednosti informacijskog rješenja po kraju eksploatacijskog vijeka, 4. Koristi se proporcionalna amortizacijska metoda, 5. Generirani novčani tijek se procjenjuje kao posljedica izbjegavanja nastupa sigurnosnog incidenta i vezanih troškova (direktnih i indirektnih), 6. Porezni kredit ne postoji, 7. Ostale vezane investicije procjenjuju uz uvo enje informacijsko sigurnosnog rješenja procjenjuju se u fiksnom iznosu i ne amortiziraju se tijekom eksploatacijskog vijeka rješenja, 8. Procjenjuje se kako tijekom eksploatacijskog vijeka sigurnosnog sredstva postoji varijabilni trošak koji se izražava relativno u odnosu na prihod, 9. Pretpostavlja se porez na dobit u iznosu od 20 %, 10. Pretpostavlja se kako je obrtni kapitala tijekom životnog vijeka korištenja sredstva nepotreban, odnosno jednak nuli, 11. Diskontna stopa koristi se u obliku direktne diskontne stope. Diskontnu stopu moguće je unutar modela izračunati i na način kako se ona računa u okviru CAPM modela pri čemu se uzimaju u obzir bezrizična stopa, premija na račun tržišnog rizika, trošak posudjivanja kapitala i udio duga u financiranju, 12. Model pretpostavlja kako su koristi od uvo enja informacijsko sigurnosnog rješenja kroz godine korištenja nepromjenjive, odnosno proporcionalno raspodijeljene,

28

13. Fiksni troškovi održavanja rješenja tijekom životnog vijeka se ne povećavaju i u biti su održani u inicijalnoj investiciji. Jednu mogućnost primjene analize novčanog toka prikazuje adaptirana tablica br. 4. Tablica br. 4: Analiza novčanog toka projekta investiranja u informacijsko-sigurnosno rješenje
Analiza projekta investiranja u informacijsko-sigurnosno rjesenje
INICIJALNA INVESTICIJA Početna investicija u sigurn. rjesenje Oportunitetni tršsak Životni vijek sigurn. rjesenja Ostatak vrijednosti sigurn. rješenja Amort.metoda Porezni kredit (%) Iznos ostalih investicija (neamort.) 150.000 kn 0 kn 7 5.000 kn 2 0% 30000 god. GENERIRANI NOVČANI TIJEK Generirano u prvoj godini Varijabilni trošak (% od prihoda) Fiksni troškovi u prvoj godini Porez na dobit 50.000 kn 10% 0 20% Metoda 1. Diskontna stopa 2a. Beta b. Bezrizična stopa c. Premija trzisnog rizika d. Udio duga u financiranju e. Trosak posudjivanja kapitala Korištena diskontna stopa= OBRTNI KAPITAL Inicijalni Obrtni kapital kao % prihoda Ostatak vrijednosti o.k. na kraju 0 kn 0% 100% DISKONTNA STOPA 1 8% 0,9 3,00% 5,00% 0,00% 9,00% 8,00%

GODISNJE STOPE RASTA Godina Prihodi Fiksni troškovi 1 n/a n/a 2 0,00% 0,00% 3 0,00% 0,00% 4 0,00% 0,00% 5 0,00% 0,00% 6 0,00% 0,00% 7 0,00% 0,00% 8 0,00% 0,00% 9 0,00% 0,00% 10 0,00% 0,00%

Postotak rasta fiksnih troškova je inicijalno jednak stopi rasta prihoda.

0 INIC IJALNA INVESTIC IJA Investicija - Porezni kredit Neto investicija + Obrtni kapital + Oportun.trošak + Ostale invest. Inicijalna invest. 150.000 kn 0 kn 150.000 kn 0 kn 0 kn 30.000 kn 180.000 kn

1

2

3

4

5

6

7

8

9

10

OSTATAK VRIJEDNOSTI Sigurnosno rješenje Obrtni kapital $0 $0 $0 $0 $0 $0 $0 $0 $0 $0 $0 $0 $5.000 $0 $0 $0 $0 $0 $0 $0

OPERATIVNI NOVČ ANI TIJEKOVI Indeks životnog vijeka Prihodi -Varijabilni trošak - Fiksni trošak EBITDA - Amortizacija EBIT -Porez EBIT(1-t) + Amortizacija - ∂ Obrtni kapital Neto novč. tijek Diskontna stopa Diskont. novč. tijek -180.000 kn 1 -180.000 kn 1 50.000 kn 5.000 kn 0 kn 45.000 kn 42.857 kn 2.143 kn 429 kn 1.714 kn 42.857 kn 0 kn 44.571 kn 1,08 41.270 kn 1 50.000 kn 5.000 kn 0 kn 45.000 kn 30.612 kn 14.388 kn 2.878 kn 11.510 kn 30.612 kn 0 kn 42.122 kn 1,1664 36.113 kn 1 50.000 kn 5.000 kn 0 kn 45.000 kn 21.866 kn 23.134 kn 4.627 kn 18.507 kn 21.866 kn 0 kn 40.373 kn 1,259712 32.050 kn 1 50.000 kn 5.000 kn 0 kn 45.000 kn 15.618 kn 29.382 kn 5.876 kn 23.505 kn 15.618 kn 0 kn 39.124 kn 1,36048896 28.757 kn 1 50.000 kn 5.000 kn 0 kn 45.000 kn 11.156 kn 33.844 kn 6.769 kn 27.075 kn 11.156 kn 0 kn 38.231 kn 26.020 kn 1 50.000 kn 5.000 kn 0 kn 45.000 kn 7.969 kn 37.031 kn 7.406 kn 29.625 kn 7.969 kn 0 kn 37.594 kn 23.690 kn 1 50.000 kn 5.000 kn 0 kn 45.000 kn 5.692 kn 39.308 kn 7.862 kn 31.447 kn 5.692 kn 0 kn 37.138 kn 24.587 kn 0 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 0 kn 0 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 0 kn 0 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 0 kn

1,469328077 1,586874323 1,713824269

Investicijski pokazatelji NPV = IRR = ROC = 32.486,95 kn 12,82% 29,30%

RAČ UNOVODSTVENA VRIJEDNOST & AMORTIZAC IJA Početna rač.vrijedn. Amortizacija Rač. vrij. na kraju 150.000 kn 0 kn 150.000 kn 42.857 kn 107.143 kn 107.143 kn 30.612 kn 76.531 kn 76.531 kn 21.866 kn 54.665 kn 54.665 kn 15.618 kn 39.046 kn 39.046 kn 11.156 kn 27.890 kn 27.890 kn 7.969 kn 19.922 kn 19.922 kn 5.692 kn 14.230 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn 0 kn

Izvor: sačinio doktorand
29

Izra eni model pokazuje kako je uz početne pretpostavke modela moguće izračunati neto sadašnju vrijednost, internu stopu povrata i povrat na angažirani kapital kod korištenja ovakvog rješenja. Dalje simulacije pokazuju kako je interna stopa povrata vrlo osjetljiva na dva temeljna ulazna čimbenika: 1. Vrijeme (dužina trajanja) korištenja informacijsko sigurnosnog rješenja 2. Percipirana (unaprijed odre ena) sposobnost informacijsko-sigurnosnog sredstva da generira pozitivni novčani tijek za vrijeme svog životnog vijeka. 3. Korištena diskontna stopa. Ovakav model može se u praksi koristiti ukoliko se pravilno procijene svi ulazni parametri. Iskustveno, najveći problem u predvi anju povezuje se uz sposobnost procjene generiranja pozitivnog novčanog tijeka u vidu izbjegavanja troška povezanog uz nastup sigurnosnih incidenata. Ta se procjena može činiti korištenjem referentnih kataloga koje vode i obra uju specijalizirane agencije ili u slučaju kompleksnih poduzeća ili organizacija, korištenjem vlastitih statističkih podataka. Konkretno, upravljanje operativnim rizikom po Basel2 kriterijima predvi a upravo ova dva izvora navedenih podataka.

3.4 ODLUČIVANJE O ZAMJENI IMPLEMENTIRANOG SIGURNOSNOG RJEŠENJA Kod analize zamjene implementiranog sigurnosnog rješenja potrebno je uzeti u obzir sve čimbenike koji utječu na potrebu zamjene, kao i sve vezane, indirektne i skrivene troškove. U realnosti poduzeća takvi su troškovi često skriveni u drugim organizacijskim jedinicama, odnosno prebačeni na druge nosioce troškova. Čest je slučaj da se trošak rada u vidu vremena potrebnog za obrazovanje internih specijalista za uvo enje nekog novog rješenja ili trošak obrazovanja korisnika za korištenje novih rješenja prebacuje na općeniti troškovni centar „troškovi rada“ ili se tekući troškovi održavanja prebacuju na općenite troškovne centre održavanja. Specifičnosti zamjene informacijsko-sigurnosnih rješenja prikazani su u tablici br. 5.

30

Tablica br. 5.: Specifičnosti zamjene informacijsko-sigurnosnih rješenja Vrsta životnog Opis vijeka Korisni životni Period vijek konkretnog korištenja sredstva Ekonomski Vrijeme životni vijek izme u trenutka instalacije sredstva i trenutka prestanka korištenja Fizički životni Vrijeme vijek izme u kupovine rješenja od strane prvog vlasnika i cjelokupnog prestanka korištenja od srane zadnjeg korisnika Amortizacijski Računovodstve životni vijek ni životni vijek u kojemu se pretpostavlja da će sredstvo biti amortizirano Garancijski Životni vijek životni vijek sredstva za koji garantira proizvo ač Optimalni Optimalni životni vijek životni vijek je točka u kojoj je suma godišnjih troškova održavanja i upravljanja sigurnosnim Specifičnost primijenjena na sustave upravljanja informacijskom sigurnošću Često duži od amortizacijskog, problemi u odre ivanju odnosa prema optimalnom. Može se produžiti dodatnim ulaganjem u održavanje.

1.

2.

3.

U pravilu je jednak ekonomskom i korisnom životnom vijeku. Informacijsko-sigurnosna investicijska rješenja u pravilu su u vlasništvu jednog poduzeća i nisu predmet prodaje i ponovnog korištenja.

4.

U RH računalni hardver, mrežna oprema i računalni softver amortiziraju se po stopi 50-100 % godišnje.

5.

Vrlo ograničena garancija na informacijsko-sigurnosna rješenja, u slučaju ure aja odnosi se na električnu ispravnost a ne temeljnu funkcionalnost. Često ovisi o razini godišnjeg ugovorenog održavanja.

6.

31

rješenjem minimalna Izvor: adaptirao doktorand, prema Malik, Krishan A., „Petroleum Project Evaluation & Investment Decision Making“, Institute for Petroleum Development, Austin, Texas, 2011., p. 107. Vrlo je razumno u portfelju sigurnosnih rješenja svako od implementiranih promatrati u kontekstu „rješenja koje se brani“ nasuprot novog rješenja koje je „rješenje izazivač“. U takvoj analizi postojeća rješenja u pravilu imaju niske investicijske troškove a visoke operativne troškove i troškove održavanja dok „rješenje izazivač“ ima visoke investicijske troškove ali može imati niže operativne troškove i troškove održavanja. Postoji nekoliko razloga zbog kojih poduzeća izbjegavaju promjene rješenja informacijske sigurnosti: • • Pitanje raspoloživosti investicijskih sredstava Implementacijska inercija: poduzeće je zadovoljno postojećim rješenjem i njegovom funkcionalnošću te načinom na koji uklanja sigurnosne propuste • Postoji nesigurnost o ukupnim troškovima novog sigurnosnog rješenja dok su troškovi postojećeg rješenja poznati • Postoji neizvjesnost o ostalim resursima kod uvo enja novog rješenja vezano uz dodatni trošak rada i edukacije • Uvo enjem novog rješenja preuzima se obaveza koja seže daleko u budućnost u odnosu na postojeće, funkcionalno rješenje • Nevoljkost implementacije novih tehnologija s jedne strane i rizik da stara tehnologija neće pružiti dovoljnu razinu zaštite 3.5 OSTALE MOGUĆNOSTI KORIŠTENJA FINANCIJSKIH METODA PRI

ODLUČIVANJU O ULAGANJU U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU U okviru ove teme, razmotrit ce se mogućnosti primjene dvije metode na upravljanje sustavom informacijske sigurnosti, a to su moderna portfolio metoda i linearno programiranje.
32

Moderna portfolio teorija ima gotovo šezdeset godina i doživjela je tijekom vremena brojne modifikacije usmjerene ka tome da njene temeljne pretpostavke budu realističnije. Tako su nastale varijacije poput post-moderne portfolio teorije koja pokušava adresirati problem asimetričnosti mjere rizika11 (rizik slijedi Gaussovu ili normalnu distribuciju kod moderne portfolio teorije), kao i primjene portfolio teorije izvan područja upravljanja portfeljem investicija (realnih ili financijskih). Takve su primjene npr. u istraživanju varijacija u kvaliteti i strukturi radne snage koje se provode od 70-tih godina, u psihologiji na području istraživanja osobnosti koja se promatra kao portfelj karakteristika osobnosti ili kao jedna od metoda kod pretraživanja podataka kojom se pokušava poboljšati uspješnost postupka. Temeljna pretpostavka teorije je da se investicija u pojedino rješenje, a u ovom kontekstu u rješenje informacijske sigurnosti ne bira individualno, sukladno ciljevima koje rješenje samostalno postiže već je potrebno promatrati utjecaj pojedinog rješenja na ostala rješenja u portfelju i cjelokupnu razinu postignute informacijske sigurnosti koristeći rješenja iz portfelja. Prema tome, sama metoda opisuje kako odabrati portfelj investicija na način da za zadanu razinu rizika povrat bude maksimalan pri čemu vrijedi i obrat, kako odabrati portfelj koji ima najniži rizik za zadanu razinu povrata. Budući da alati za informacijsku sigurnost doista imaju karakter investicija a sa sobom nose karakteristiku rizika koji je moguće kvantificirati, portfolio teorija bila bi primjenjiva i na portfelj rješenja unutar sustava upravljanja informacijskom sigurnošću. No, prije toga potrebno je vidjeti koje su temeljne pretpostavke portfolio teorije kako bi se ustanovila je li model praktično primjenjiv, budući da temeljne pretpostavke modela često predstavljaju i njegova ograničenja. Neke temeljne pretpostavke moderne portfolio teorije koje bi se mogle pokazati problematičnima kod primjene na sustave upravljanja informacijskom sigurnošću su sljedeće: 1. Funkcija upravljanja informacijskom sigurnošću je često podvojena na tehničku disciplinu kojom se bave rukovoditelji i timovi i na one koji odlučuju o investicijama u informacijsku sigurnost. Izme u dvaju funkcija trebala bi postojati povezanost, no često dolazi do temeljnog sukoba jer zbog financijskih razloga ili averzije prema investicijama u razmjerno „nepoznate“ projekte oni koji odlučuju o investicijama odbijaju investirati u

11

. Elton, Edwin J.; Gruber, Martin J.,, Brown, Stephen J.,. Goetzmann, William N, „Modern Portfolio Theory and Investment Analysis“, osmo izdanje, Wiley, Bognor Regis, West Sussex, 2009., p. 74.

33

sustave upravljanja informacijskom sigurnošću. Time se preuzima rizik, svjesno ili nesvjesno. Budući da je temeljna pretpostavka portfolio teorije činjenica kako postoji nesklonost riziku, iz psiholoških razloga, to bi mogla biti kontraindikacija ili poteškoća kod korištenja ove metode. 2. Procjena rizika na kojoj se temelji tehnički dio upravljanja sustava informacijske sigurnosti je subjektivna. Oni koji procjenu rizika izvode ne mogu biti upoznati sa svim mogućim rizicima ili tehnički dio procjene rizika može biti izveden na način da je sposobnost informacijsko sigurnosnog rješenja da ukloni sigurnosni rizik umanjena ili uvećana. 3. Akcije pri odabiru sigurnosnih rješenja ne bi trebale utjecati na sposobnost rješenja da umanji ili (neželjeno) uveća vjerojatnost nastupa sigurnosnog incidenta. U praksi to nije tako jer izme u sigurnosnih rješenja postoji jaka korelacija i samim time moguće je da uvo enje jednog sigurnosnog rješenja značajno umanji rizik nekog naizgled nevezanog sigurnosnog incidenta te samim time promijeni vjerojatnost nastupa takvog doga aja i promijeni vjerojatnosnu karakteristiku nekog drugog sigurnosnog rješenja u portfelju. 4. Rizici pojedinih komponenti informacijskog sustava koji se pokušavaju umanjiti sigurnosnim rješenjima ne prate normalnu (Gaussovu) distribuciju, što je temeljni zahtjev moderne portfolio teorije. 5. MODEL KORIŠTENJA FINANCIJSKIH KRITERIJA PRI ODLUČIVANJU O INVESTIRANJU SIGURNOŠĆU Važnost ove tematike nameće potrebu detaljne obrade sljedećih tematskih jedinica: 1) razmatranje metode analitičkih hijerarhijskih procesa i 2) prijedlog modela integracije tehničkih, ekonomskih i financijskih metoda pri odlučivanju o investiranju u sustave upravljanja informacijskom sigurnošću. U SUSTAVE UPRAVLJANJA INFORMACIJSKOM

34

4.1 RAZMATRANJE METODE ANALITIČKIH HIJERARHIJSKIH PROCESA Jedna od metoda koja se može koristiti pri odre ivanju sastava portfelja informacijskosigurnosnih usluga koje će neko poduzeće koristiti u svom radu je metoda analitičkih hijerarhijskih procesa (eng. Analytic Hierarchy Process). Radi se o tehnici organizacije i analize kompleksnih odluka koja je bazirana na kvantitativnim metodama ali sadrži i subjektivni element.12 Korištenjem AHP metode ne dolazi se do „idealne“ odluke, nego se uvažavaju svi kriteriji pri odlučivanju, oni se kvantificiraju cak i kada se me usobno čine nespojivima ili neusporedivima, procjenjuje se njihov utjecaj u odnosu na ukupnost ciljeva koje se želi postići i procjenjuju se alternativna rješenja. Metoda se sastoji od dekompozicije problema o kojemu se odlučuje u hijerarhiju problema koji se mogu nezavisno analizirati. Svaki od tih elemenata hijerhije odnosi se na neki od aspekata problema odlučivanja. Kada je hijerarhija uspostavljena, njeni se elementi uspore uju u parovima, pri čemu je uspore ivanje subjektivno. Ove se ocjene izražavaju numerički pri čemu se izvodi težinski čimbenik za svaki element hijerarhije. Naposljetku, računaju se numerički prioriteti za svaku alternativu odluke koje predstavljaju relativnu sposobnost alternativa da postignu cilj odlučivanja. Neka od područja primjene metode AHP su rješavanje konflikata, upravljanje sustavima kvalitete, sustavno vrednovanje, prioritiziranje, predvi anje, odabiranje i alokacija resursa.

Haas, R., Meixner, O., „An illustrated guide to the Analytic Hierarchy Process“, Institute of Marketing & Innovation, University of Natural Resources and Applied Life Sciences, Vienna, 2011., p. 5.

12

35

Shema 5: Shematski prikaz postupka primjene AHP metode

Izvor:

http://www.123ahp.com/PrimjerDocs/SWOT_en/SWOT_and_AHP_123ahp.jpg

,

(24.12.2011.)

Jedan od temeljnih problema pri odlučivanju o uključivanju nekog sigurnosnog rješenja u portfelj je problem raspoloživih financijskih sredstava za financiranje investicije. U praksi se često doga a da se tijekom procjene rizika neki rizici nerazmjerno podcjenjuju ili precjenjuju ili se u točki kada menadžment donosi odluku o investiciji u neko sigurnosno rješenje preuzimaju previsoki implicitni rizici, odnosno preinvestira se u neka rješenja koja sobom ne donose visoke razine rizika. Metodom AHP može se ovaj proces objektivizirati. Potencijalna primjena metode AHP u odabiru investicije u informacijsku sigurnost imala bi sljedeće korake, kako je prikazano na shemi br. 6.

36

Shema br. 6.: Smještaj AHP metode u postupku odlučivanja o investiranju u informacijsku sigurnost

Procjena rizika

Odabir financijski prihvatljivih alternativa

AHP

Izvor: sačinio doktorand Jedna od mogućnosti korištenja metode AHP istražena je korištenjem kvantitativnog online servisa „Moj izbor moja odluka“.13 Ulazni parametri modela su mogućnosti ulaganja u odgovarajuće oblike osiguravanja informacijske sigurnosti poduzeća koji su odabrani tako da su sukladni kontrolama Aneksa A ISO standarda 27001:2005 koji regulira funkcioniranje sustava upravljanja informacijskom sigurnošću14. Konkretno, predvi ene mogućnosti ulaganja su sljedeće: 1. Ulaganja u sigurnost pristupa informacijskim sustavima 2. Ulaganja u organizaciju informacijske sigurnosti 3. Ulaganja u sigurnost okruženja 4. Ulaganja u izradu i provo enje sigurnosnih politika 5. Ulaganja u sukladnost sa zakonskim propisima 6. Ulaganja u osiguravanje kontinuiteta poslovanja 7. Ulaganja u upravljanje informacijskom imovinom 8. Ulaganja u informacijsku sigurnost zaposlenika 9. Ulaganja u sigurnost operacija i upravljanja 10. Ulaganja u sigurnost nabave, razvoja i održavanja sustava
http://www.mojizbormojaodluka.net/, (20.12.2011.) „International Standard ISO/IEC 27001 - Information technology — Security techniques — Information security management systems — Requirements“, SAI GLOBAL, Index House, Ascot, Berks, SL5 7EU, UK, p. 13.
14 13

37

Definiraju se i kriteriji za koje se uzima da su bitni kod odlučivanja o ulaganju u informacijsku sigurnost. Radi se o proizvoljnim kriterijima koji proizlaze iz poslovnih zahtjeva vezanih uz upravljanje i uvo enje sustava upravljanja informacijskom sigurnošću. U konkretnom slučaju, ti su zahtjevi sljedeći: 1. Umanjenje rizika od sigurnosnog incidenta 2. Raspoloživost financijskih sredstava za investiciju 3. Mjerljivost konkretne koristi 4. Raspoloživost stručnog osoblja za uvo enje sustava Time su definirani ulazni elementi sustava te se pristupa me usobnoj usporedbi elemenata modela pri čemu se osobne preferencije izražavaju Saaty-jevom skalom15 koja ima pet stupnjeva i četiri me ustupnja opisanih intenziteta. Saaty-jeva skala prikazana je u tablici br. 6. Tablica br. 6: Odrednica Saaty-jeve skale Intenzitet važnosti 1 Definicija Jednako važno Objašnjenje Obje jednako cilju 3 Umjereno važnije Umjerena prednost alternative pridonose

jedne alternative 5 Strogo važnije Favoriziranje alternative 7 Vrlo stroga, dokazana Dominacija važnost u praksi jedne jedne

alternative dokaziva je

15 AHP je razvio dr. Thomas Saaty 1970-ih godina dok je predavao na Wharton School of Business. Metoda je do dan-danas ostala me u najcjenjenijima i naširoko upotrebljavanim metodama u odlučivanju. Mnoge institucije i kompanije koriste se njome u donošenju važnih poslovnih odluka.

38

9

Ekstremna važnost

Favoriziranje je s

jedne

alternative potvr eno najvećom sigurnošću 2,4,6,8 Me uvrijednosti

Izvor: http://www.ahpacus.com/OMetodi.aspx , (24.12.2011.) Ukupni prioriteti alternativa dobivaju se izračunom iz lokalnih prioriteta (važnosti), a koji su izračunati iz vlastitih procjena relativnih važnosti kriterija i vezanih alternativa u parovima. Tako dobivene rezultate prikazuje tablica br. 7.

39

Tablica br. 7: Izračunati me urezultati odnosa kriterija pri odlučivanju o investiranju u sustave informacijske sigurnosti

Izvor:

izračunska

tablica

sačinjena

korištenjem

Internet

alata

na

stranicama

http://www.ahpacus.com, (16.12.2011.) Konačni rezultati izračuna pokazuju kako je prema kriteriju koristi u odnosu na trošak najpoželjnije ulaganje u sigurnost pristupa sustavima, organizaciju informacijske sigurnosti,
40

sigurnosne politike, sukladnost sa zakonskim propisima i tako redom. Ovakvu prioritizaciju potvrdit će i subjektivno, iskustveno promišljanje ove problematike. Konkretni rezultati prikazani su na grafikonu br. 1. Grafikon br. 1: Prioriteti odlučivanja o investiranju u informacijsku sigurnost

Izvor:

Izračunska

tablica

sačinjena

korištenjem

Internet

alata

na

stranicama

http://www.ahpacus.com, (16.12.2011.) Izračunatu važnost kriterija kao i strukturu alternativa prikazuje grafikon broj 2.

41

Grafikon br. 2: Važnost kriterija i struktura alternativa pri donošenju odluke o investiranju u informacijsku sigurnost

Izvor:

Izračunska

tablica

sačinjena

korištenjem

Internet

alata

na

stranicama

http://www.ahpacus.com, (16.12.2011.)

42

Pri korištenju AHP metode potrebno je obratiti pažnju na omjer konzistentnosti (CR) kojim se kod AHP metode mjeri konzistentnost subjektivnog odlučivanja. Ukoliko je omjer konzistentnosti manji ili jednak 10 %, nekonzistentnost u odlučivanju je prihvatljiva a ukoliko je omjer konzistentnosti veći od 10 %, u tom slučaju trebalo bi revidirati preferencije pri odlučivanju i odlučivanje o alternativama u postupku nije konzistentno. U konkretnom primjeru iako se struktura alternativa subjektivno čini ispravnom, omjer konzistentnosti je veći od 10%. Budući da bi u ovako kompleksnom modelu bilo vrlo komplicirano iznova ocjenjivati konzistentnost pojedinih me ukoraka odlučivanja, ovo upućuje na činjenicu kako bi bilo moguće koristiti metodu AHP pri odlučivanju o ulaganjima u informacijsku sigurnost, no isključivo ukoliko je broj alternativa i kriterija manji, odnosno ukoliko se radi o nekoliko alternativa i kriterija. U praksi bi to bilo moguće očekivati iz razloga što je prikazani primjer razmjerno kompleksan, dok se pri odlučivanju obično radi o nekoliko kriterija i nekoliko alternativa koje se razmatraju, dok se ovdje radilo o deset alternativa i četiri kriterija koji pokrivaju cijeli aneks A ISO 27001:2005 standarda.

4.2 PRIJEDLOG

MODELA

INTEGRACIJE

TEHNIČKIH,

EKONOMSKIH

I

FINANCIJSKIH METODA PRI ODLUČIVANJU O INVESTIRANJU U SUSTAVE UPRAVLJANJA INFORMACIJSKOM SIGURNOŠĆU Pri kreiranju sveobuhvatnog modela integracije tehničkih, ekonomskih i financijskih metoda pri odlučivanju o investiranju u sustave upravljanja informacijskom sigurnošću potrebno je u obzir uzeti tehničke i financijske čimbenike koji utječu na uključivanje pojedinih kontrola u sustav upravljanja informacijskom sigurnošću. Temeljni pristup koncentrira se na analizu prijetnji koje mogu nanijeti štetu ISMS-u. Pritom se analiziraju različite razine zaštite koje se odnose na arhitekturu, organizaciju, osoblje, hardver, softver, komunikacije te prijetnje. Stvara se sustavni katalog prijetnji i zaštita (kontrola) kojima se pokušava umanjiti utjecaj prijetnji pri čemu se smatra da su ciljevi temeljne zaštite zadovoljeni ako su sve prijetnje eliminirane korištenjem adekvatnih kontrola. Prednost ovog pristupa je u činjenici da standardizira zaštitu u slučaju niske do srednje potrebe za primjenom kontrola zaštite, a mana da je količina prijetnji i zaštita toliko velika da ih je vrlo problematično
43

sve implementirati. Nadalje, primjena temeljnih mjera zaštite u pravilu kasni za razvojem tehnologije i pravim prijetnjama te u sebi gotovo da ne sadrži ekonomske aspekte ili analizu. Drugi mogući pristup je pristup analiza ranjivosti koje su predstavljene slabostima informacijske infrastrukture poduzeća, kako po pitanju organizacijskih, tako i po pitanju tehničkih aspekata. Cilj analize ranjivosti je primjena kontrola s ciljem njihove minimizacije. Počevši od idealizirane normizacije sigurnog sustava, pokušavaju se previdjeti sve moguće ranjivosti i propusti. Ova vrsta analize bazirana je uglavnom na specifičnim listama politika a smatra se da je sigurnost sistema postignuta ukoliko su eliminirane sve ranjivosti. Prednost ovakvog pristupa je činjenica da ga se može lako standardizirati, no svaka, pa i najmanja promjena u sistemu mijenja parametre koji moraju biti zadovoljeni da bi bili postignuti ciljevi sigurnosti. Jedan od mogućih pristupa je i pristup analize rizika koji se bazira na činjenici da ovisno o strukturi i organizaciji informacijskih sustava te tipu informacija koje se obra uju i pohranjuju, svaka organizacija posjeduje različite zahtjeve po pitanju informacijske sigurnosti koje ne mogu biti zadovoljene primjenom standardnog kataloga kontrola. Analiza rizika u sebi utjelovljuje i analizu prijetnji i analizu ranjivosti a sastoji se od odabira onih dijelova tehničke i organizacijske arhitekture koje treba analizirati, što se čini u terminima potreba za zaštitom, prijetnju, ranjivosti i utjecaja na poslovnu aktivnost i odre ivanja adekvatnih protumjera. Temeljni zahtjev pristupa baziranog na analizi rizika su maksimalna objektivnost i dugoročna održivost rezultata. Analiza rizika je jedina metoda planiranja informacijske sigurnosti koja u sebi inkorporira ranjivosti, prijetnje i utjecaj na poslovanje pri procjeni sigurnosnih rizika. Ujedno, to je jedina metoda uz koju se može koristiti i cost-benefit analiza ulaganja u sustave upravljanja informacijskom sigurnošću, kako bi se izbjeglo primjenjivanje onih kontrola koje su nepotrebne ili „neprofitabilne“. Problem pri odlučivanju o investiranju u sustave upravljanja informacijskom sigurnošću je činjenica da mjere financijske ili ekonomske uspješnosti ne uzimaju u obzir podatke koji se

44

odnose na tehničku domenu te aktivnosti (rizik, ranjivosti, procjena rizika). Taj zahtjev doveo je do uvo enja pojma povrata na sigurnosnu investiciju (ROSI – Return on Security Investment). 16 ROSI = monetarno izraženo izbjegavanje rizika - trošak implementiranja sigurnosne kontrole Smatra se da je sigurnosna investicija profitabilna ako je monetarno izraženo izbjegavanje rizika, odnosno „ušteda“ u odnosu na štetu učinjenu nastupom sigurnosnog rizika veća od troška implementiranja sigurnosne kontrole. Ovakvo razmatranje pomaže pri odlučivanju o investicijama, ali ne govori ništa o postavljanju prioriteta u slučaju više alternativa, zato što nedostaje odnos prema angažiranom kapitalu. Rezultat toga je činjenica da je marginalni trošak ulaganja u sustave upravljanja informacijskom sigurnošću u rukama menadžmenta. ROSI metoda dovela bi do ispravnih rezultata ukoliko bi monetarno izraženo izbjegavanje rizika bilo izračunato uz uporabu analize scenarije. Ostaje problem slabljenja ROSI modela uvo enjem varijabli koje imaju više kvalitativne nego kvantitativne karakteristike.

16 Sonnenreich,W., Albanese, J., Stout, B.: „Return On Security Investment (ROSI): A Practical Quantitative Model“, SageSecure, LLC, 2005., p. 6

45

5. ZAKLJUČAK
Poduzeća i organizacije koji posluju u modernom okruženju, a osobito u uslužnom sektoru izloženi su izazovima moderne dematerijalizirane ekonomije. Iz navedenog razloga, jedna od novih poslovnih funkcija koja se iskristalizirala u zadnjih nekoliko desetljeća, a osobito u zadnja dva desetljeća, pojačanim korištenjem mrežnih i komunikacijskih tehnologija, poslovna je funkcija informacijske sigurnosti. Njeni su korijeni u obrambenom sektoru i sektoru visokih tehnologija, a prvotno je svoju poslovnu primjenu doživjela tamo gdje primjena novih ideja, izuma i patenata počela značiti konkurentsku prednost pred ostalim poduzećima. Upravo zbog povećanog broja prijetnji i činjenice da postoji čitav niz oblika informacijske imovine koje te prijetnje ugrožavaju, u današnje doba čak i najmanja poduzeća i organizacije moraju posvetiti dužnu pažnju informacijskoj sigurnosti kako bi izbjegli nastupe sigurnosnih incidenata koji bi mogli ugroziti konkurentnost pa i samu opstojnost poduzeća. Stoga osiguranje pravilnog funkcioniranja poslovne organizacije informacijske sigurnosti nije više rezervirano samo za korporativni sektor, nego se odnosi i na najmanja poduzeća, sve do razine pojedinacapoduzetnika i obrtnika. Zahtjevi za osiguranjem zadovoljavajuće razine informacijske sigurnosti postavljeni su i od strane zakonodavca koji na taj način pokušava regulirati i pozitivno utjecati na rad onih poduzeća koja su od strateškog značaja za državu, a to se primarno odnosi na financijski sektor. Takvi zahtjevi predstavljaju zakonodavne zahtjeve koje ta poduzeća moraju ispuniti. U pravilu se takvi zahtjevi ne postavljaju pred ostala poduzeća realnog sektora, već ona sama moraju sukladno svojim poslovnim ciljevima, raspoloživim financijskim sredstvima i ljudskim resursima i procjeni rizika procijeniti koja su ulaganja isplativa. Pritom se primarno procjenjuju koristi od uvo enja sustava upravljanja informacijskom sigurnošću u odnosu na cijenu (ukupni trošak) njihovog uvo enja i održavanja, te se sukladno toj procjeni odlučuje o investiranju. Procjena ukupnog troška uvo enja i korištenja različitih elemenata sustava upravljanja informacijskom sigurnošću dodatno je otežana zbog različitih oblika kojima se ti ciljevi mogu postići: s jedne strane, to je moguće kapitalnim ulaganjima pri čemu se radi o realnim investicijama, a s druge strane, gotovo sva informacijsko-sigurnosna rješenja raspoloživa su i u obliku tekućih troškova, odnosno troškova održavanja, čime ponu ači pokušavaju funkcionalnost rješenja prilagoditi
46

namjerama klijenata i raspoloživosti financijskih sredstava u danom trenutku. Informacijsko sigurnosna rješenja u svakom slučaju u pozadini sa sobom nose velike troškova tekućeg održavanja. Temeljni problem kod odlučivanja o investiranju u sigurnosno informacijska rješenja su dva me usobno suprotstavljena načina razmatranja odlučivanja o investiranju. Jedan je tehnocentrični, koji zagovaraju stručnjaci u poduzeću zaduženi za informacijski sigurnost. Oni primarno razmatraju procjenu rizika i sukladno tome predlažu različite mjere kojima se rizik može smanjiti na najmanju moguću mjeru, pri čemu se ponekad predlažu ulaganja u informacijsko-sigurnosna rješenja koja nisu isplativa. S druge strane, financijsko rukovodstvo poduzeća u pravilu ne razumije tehničke zahtjeve ulaganja u informacijsku sigurnost, većinu takvih ulaganja ne razumije i za njih bi bilo optimalno da takvih ulaganja niti nema, jer im se za odlučivanje obično ne predočavaju konkretni podaci o tome kakav je konkretan pozitivan utjecaj informacijsko sigurnosnih rješenja na poslovni rezultat poduzeća. Balans izme u tehnocentrične i financijske perspektive pogleda na sustave upravljanja informacijskom sigurnošću ključan je u odlučivanju o investiranju u informacijsku sigurnost a u praksi je obično pomaknut u jednu stranu, pri čemu oba smjera disbalansa utječu ili na smanjenje poslovnog rezultata poduzeća ili na implicitno preuzimanje previsokih razina rizika vezanog uz informacijsku sigurnost poduzeća. U odlučivanja o investiranju u informacijsko-sigurnosne sustave, moguće je koristiti klasične metode ekonomskog i novčanog (financijskog) toka. Kao i kod klasičnih metoda, pojavljuje se problem odre ivanja ulaznih parametara, a slično i kod uobičajenih modela (investiranje u sredstva za proizvodnju, projektno investiranje), najveći je problem u odre ivanju, tj. procjenjivanju „prihodovne“ strane, koja se kod informacijsko-sigurnosnih rješenja može poistovjetiti s procjenom izbjegnute štete u slučaju nastupa sigurnosnog incidenta koji se dogodio zato što odre eno rješenje nije implementirano, tj. zato što se nije išlo u projekt investiranja. Ovakvi podaci često nisu javno raspoloživi, a nemaju ih niti konzultantska poduzeća specijalizirana za tu problematiku jer su specifični, ovise o vrsti poduzeća i djelatnosti a djelomično su raspoloživi za financijske institucije koja ionako moraju po slovu zakona investirati u informacijsko sigurnosna rješenja kako bi ispunili zakonske zahtjeve. Metoda koju je moguće koristiti je modificirana metoda interne stope prinosa, prilago ena problematici informacijsko sigurnosnih rješenja, uz ulazne parametre prilago ene specifičnostima investiranja
47

u sustave upravljanja informacijskom sigurnošću. Teorijski, portfelj informacijsko sigurnosnih rješenja mogao bi se analizirati koristeći metodologiju moderne portfolio teorije, koja se u praksi primjenjivala i na druge probleme, a ne samo u smislu optimizacije portfelja imovine. No, u praktičnom smislu, postavlja se niz pitanja vezanih uz ulazne parametre takvog modela koji su teško mjerljivi, a i metodu bi trebalo prilagoditi na način da ne koristi normalnu distribuciju jer rizici informacijske sigurnosti ne prate tu krivulju. U izvo enju različitih simulacija od osobite koristi mogu biti Monte Carlo metoda simuliranja, te metoda analitičkih hijerarhijskih procesa koja pomaže pri kvantificiranju odlučivanja. U okviru operacijskih istraživanja, metode linearnog i nelinearnog programiranja uz potporu odgovarajućih alata poput Microsoft Excel Solvera mogu biti od koristi ukoliko su poznate funkcije cilja, ili u pojedinim fazama planiranja u kojima se traže maksimalne i minimalne vrijednosti funkcija. Pritom je potrebno dužnu pažnju posvetiti formiranju modela, budući da je moguće lako model svesti na trivijalan (korištenjem tehnocentrične perspektive, traži se minimum rizika koji će se zasigurno postići uz maksimum ulaganja, što je protivno financijskoj perspektivi isplativosti ulaganja i obrnuto, korištenjem minimuma ulaganja zasigurno će se postići maksimum rizika, što je kontraproduktivno promatra li se iz tehnocentrične perspektive. No, u svakom slučaju, u centru svakog razmatranja je pojam ROSI (Return on Security Investment) koji zahtijeva da monetarno izraženo izbjegnuti rizik bude veći od ukupnog troška implementiranja odgovarajućeg informacijsko sigurnosnog rješenja koji taj rizik smanjuje.

48

LITERATURA 1) KNJIGE:
1) Birchler, U., Bütler, M., „Information Economics“, Routledge Advanced Texts in Economics and Finance, Routledge, 2007. 2) Elton, Edwin J.; Gruber, Martin J.,, Brown, Stephen J.,. Goetzmann, William N, „Modern Portfolio Theory and Investment Analysis“, osmo izdanje, Wiley, Bognor Regis, West Sussex, 2009. 3) Hirshleifer, J., Riley, John G., "The Analytics of Uncertainty and Information", Cambridge Surveys of Economic Literature, Cambridge, UK, 1992. 4) Malik, Krishan A., „Petroleum Project Evaluation & Investment Decision Making“, Institute for Petroleum Development, Austin, Texas, 2011.

2) ČLANCI:
1) Hlača, B., Aksentijević, S., Tijan, E.:“Influence of ISO 27001:2005 on the Port of Rijeka security”, Pomorstvo, Pomorski fakultet, Rijeka, god. 22, br. 2, 2008. 2) Sonnenreich,W., Albanese, J., Stout, B.: „Return On Security Investment (ROSI): A Practical Quantitative Model“, SageSecure, LLC, 2005.

3) INTERNET IZVORI:
1) http://www.law.cornell.edu/uscode/44/usc_sec_44_00003542----000-.html (18.05.2010.) 2) http://www.balancedscorecard.org/thedemingcycle/tabid/112/default.aspx (19.05.2010.) 3) http://www.scribd.com/doc/75998229/Metode-Za-Ocjenu-Financijske-Efikasnosti (25.11.2011.) 4) http://www.123ahp.com/PrimjerDocs/SWOT_en/SWOT_and_AHP_123ahp.jpg (24.12.2011.) 5) http://www.mojizbormojaodluka.net/ (20.12.2011.)
49

6) http://www.ahpacus.com/OMetodi.aspx (24.12.2011.)

4) OSTALI IZVORI:
1) „International Standard ISO/IEC 27001 - Information technology — Security techniques — Information security management systems — Requirements“, SAI GLOBAL, Index House, Ascot, Berks, SL5 7EU, UK 2) Košutić, D.: “Elementi procjene i upravljanja informacijskim rizicima”, Kvadra Savjetovanje d.o.o, Zagreb, 2007. 3) Haas, R., Meixner, O., „An illustrated guide to the Analytic Hierarchy Process“, Institute of Marketing & Innovation, University of Natural Resources and Applied Life Sciences, Vienna, 2011. 4) Aksentijević, S.: “Integralna zaštitna funkcija unutar poduzeća i sustav upravljanja informacijskom sigurnošću – Saipem Mediteran Usluge d.o.o, Rijeka”, završni rad poslijediplomskog specijalističkog studija, Ekonomski fakultet, Rijeka, 2008. (neobjavljen)

POPIS SHEMA, TABLICA I GRAFIKONA POPIS SHEMA
Redni broj Naslov grafikona 1. 2. 3. 4. 5. 6. Proces procjene i upravljanja rizikom Koraci pripreme plana informacijske sigurnosti PDCA (“Planiraj-Učini-Provjeri-Primijeni”) ciklus Shematski prikaz interakcije raznorodnih rješenja kojima se postižu ciljevi informacijske sigurnosti Shematski prikaz postupka primjene AHP metode Smještaj AHP metode u postupku odlučivanja o investiranju u informacijsku sigurnost 35 36 Stranica 10 12 13 15

50

POPIS TABLICA
Redni broj Naslov grafikona 1. 2. 3. 4. 5. 6. 7, Struktura proračuna odjela za upravljanje sustavima informacijske sigurnosti Analiza modificiranog ekonomskog toka ulaganja u informacijsku sigurnost Modificirana metoda novčanog toka pri ulaganju u informacijsku sigurnost Analiza novčanog toka projekta investiranja u informacijsko-sigurnosno rješenje Specifičnosti zamjene informacijsko-sigurnosnih rješenja Odrednica Saaty-jeve skale Izračunati me urezultati odnosa kriterija pri odlučivanju o investiranju u sustave informacijske sigurnosti 30 37 39 29 22 21 Stranica 17

POPIS GRAFIKONA
Redni broj Naslov grafikona 1. 2. Prioriteti odlučivanja o investiranju u informacijsku sigurnost Važnost kriterija i struktura alternativa pri donošenju odluke o investiranju u financijski sigurnost Stranica 40 41

51

Sign up to vote on this title
UsefulNot useful